Microsoftは国防総省のシステム保守に中国人エンジニアを投入しており機密性の高いデータがハッキングの危機にさらされている

アメリカと中国の政治的・経済的対立が深まる中で、アメリカ政府は中国政府の指示を受けた中国系ハッカーの攻撃を警戒しています。ところが、Microsoftは「digital escorts(デジタル・エスコート)」という政府内でもあまり知られていないプログラムに基づき、国防総省のシステム保守に中国人エンジニアを投入していると、非営利報道機関のProPublicaが報じました。

Microsoft “Digital Escorts” Could Expose Defense Dept. Data to Chinese Hackers — ProPublica
https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers

2000年代にクラウドテクノロジーが登場し、インターネット経由でオンデマンドのコンピューティング能力とデータストレージが提供されるようになると、アメリカ連邦政府の運営にもクラウドが採用されるようになりました。しかしクラウドへの移行は、情報の保守やアクセスに関する一部の権限を、政府からMicrosoftなどの企業に与えることを意味しており、これにはセキュリティ上のリスクが伴います。

そこでアメリカ政府は、2011年にクラウドサービスの認証制度である米国連邦情報セキュリティ管理プログラム(FedRAMP)を開始し、機密性の高い連邦政府データを扱う従業員の身元調査を確実にすることを、クラウド企業に対して義務づけました。また、国防総省は独自のクラウドガイドラインを策定し、機密データを扱う職員の要件として「アメリカ国民または永住者であること」を定めました。

Microsoftはインドや中国、EUなどのグローバルな人材を採用していることから、これらの要件に準拠することは困難でした。そこで起用されたインディ・クロウリー氏というシニアプログラムマネージャーが、FedRAMPや国防総省の要件を回避する方法として、「デジタル・エスコート」というプログラムを考案したとProPublicaは報じています。

デジタル・エスコートの流れは以下の通り。

1：Microsoftのクラウド製品に対するテクニカルサポートが必要となった場合、中国などの外国にいるMicrosoftのエンジニアが仕事をするため、オンラインで「チケット」を提出する。
2：「チケット」を受け取ったアメリカ在住の「エスコート」が、Microsoft Teamsで外国人エンジニアとオンライン会議を開く。
3：外国人エンジニアがエスコートにアドバイスやコマンドを送信し、エスコートはそれに従ってコマンドの入力や操作を行う。

このプログラムにより、中国などに住む外国人エンジニアが政府システムを直接操作することなく、適切なサポートを提供できるというわけです。

しかしProPublicaは、一連の操作を監督するエスコートの技術的知識は外国人エンジニアに遠く及ばないケースがあると指摘。中には、機密を扱うにしてはかなり低い時給で雇用された「ほとんどコーディング経験がない元軍人」もいると報じています。

つまり、外国人エンジニアが悪意のあるコードが挿入されたコマンドを送信し、それを入力するように指示したとしても、エスコードは問題に気付かず実行してしまう可能性があるというわけです。匿名を希望した現役エスコートはProPublicaに対し、「彼らの行為に悪意がないと信じていますが、本当のところはわかりません」と語りました。

Microsoftは当初、防衛産業大手のロッキード・マーティンのIT部門と協力してエスコートを雇用していましたが、規模の拡大に伴って人材派遣会社などの下請け企業を頼るようになりました。ProPublicaの分析では、アクセンチュアの子会社である「Insight Global」と「ASM Research」の2社がエスコートを雇用していることが突き止められました。

このうちInsight Globalが2024年1月に出したエスコートの求人では、国防総省からの機密情報セキュリティ認定を受けた人材を、最低時給18ドル(約2700円)から募集していました。Insight Globalで働くエスコートによると、同社では約50人からなるエスコートのチームが中国に拠点を置くMicrosoftのエンジニアとやり取りを行い、毎月数百件ものコマンドを政府システムに入力しているそうです。あるエスコートはProPublicaに対し、「人々がエスコートに就くのはソフトウェアエンジニアだからではなく、機密情報セキュリティ認定を受けているからです」と述べています。

Insight GlobalはProPublicaへの声明で、「面接プロセスを通じて各人材の技術的能力を評価し、職務に必要な技術的スキルを有していることを確認しています」「この役職には機密情報の取り扱いに関する許可が必要になるかもしれませんが、それはパズルのピースのひとつに過ぎません」とコメント。社内でエスコートの研修を行っていることや、政府のセキュリティクリアランスプロセスの一環として、サイバー攻撃および「内部脅威認識」に関する追加研修も受けていると説明しました。

Microsoftのデジタル・エスコートは政府内部でもほとんど注目されていないそうで、ProPublicaのインタビューを受けた元政府関係者も聞いたことがないと回答。アメリカ国防情報システム局の広報担当者であるデヴェン・キング氏も、「デジタル・エスコートについては皆、文字通り何も知らないようです。そのため、これからどう対処すればいいのかわかりません」と述べています。

中央情報局(CIA)とアメリカ国家安全保障局(NSA)の元幹部であり、ジョー・バイデン政権の下でホワイトハウスの国家サイバー長官務めたハリー・コーカー氏は、「もし私が工作員だったら、デジタル・エスコートを極めて貴重なアクセス手段だと見なすでしょう。私たちは非常に懸念しなくてはなりません」とコメント。また、自分たちが現役だった頃、敵対国に同じようなアクセス手段があったら良かったとも語りました。

デジタル・エスコートの開発に携わった元Microsoftエンジニアのマシュー・エリクソン氏は、ProPublicaへのメールで「もし誰かが『fix_servers.sh』というスクリプトを実行し、それが実際に悪意のある動作をしていたとしても、(エスコートは)まったく気付かないでしょう」と認めています。しかし、侵害できるシステムの範囲は限られていると指摘し、「出身国だけで誰かを疑う理由はありません」「他国に拠点を置くMicrosoftの従業員から、特別な脅威があるとは思いません」と主張しました。

ProPublicaはMicrosoftの幹部にも取材を申し込みましたが、Microsoftは取材を拒否しました。ProPublicaへの声明でMicrosoftは、同社の従業員と請負業者は「アメリカ政府の要件と手続きに準拠した方法」で業務を行っており、十分な審査プロセスや訓練、保護措置を設けていると説明したとのことです。